局域網(wǎng)組網(wǎng)技術(shù)項目式教程（微課版）項目5 展現(xiàn)才能-組建小型網(wǎng)絡(luò)

項目5

展現(xiàn)才能——組建小型網(wǎng)絡(luò)《局域網(wǎng)組網(wǎng)技術(shù)項目式教程》（微課版）探索網(wǎng)絡(luò)奧秘領(lǐng)略科技風采項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)項目背景公司搭建的小型網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖所示。小明作為網(wǎng)絡(luò)管理員需要完成以下任務(wù)：配置和管理路由器，使公司內(nèi)部計算機能夠訪問外部網(wǎng)絡(luò)，各部門能夠訪問公司搭建的服務(wù)資源，除財務(wù)部外的其他部門之間可以實現(xiàn)互訪，其他部門禁止訪問財務(wù)部，公司內(nèi)部路由器能夠訪問遠程路由。項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)項目目標在學習完本章之后，你應(yīng)該能夠回答下面的問題：CLI是什么？怎樣通過Console口登錄路由器？路由器常用的配置命令有哪些？怎樣通過Telnet登錄路由器？什么是ACL？NAT的作用是什么？路由和路由表的作用是什么？靜態(tài)路由與默認路由的區(qū)別是？怎樣配置默認路由？項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)素養(yǎng)提示精益求精的職業(yè)素養(yǎng)愛國精神敬業(yè)的職業(yè)態(tài)度民族自信項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)關(guān)鍵術(shù)語本章使用如下關(guān)鍵術(shù)語：

CLIConsole.TelnetACLNAT默認路由通配符掩碼路由路由表路由條目靜態(tài)路由動態(tài)路由靜態(tài)NAT動態(tài)NAT基本ACL高級ACL路由優(yōu)先級項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)知識導(dǎo)圖任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)要求】路由器是互聯(lián)網(wǎng)的主要節(jié)點設(shè)備，路由器的性能影響著網(wǎng)絡(luò)互聯(lián)的質(zhì)量。小明在使用路由器搭建小型網(wǎng)絡(luò)之前，首先要認識路由器，掌握路由器的基本配置，然后才能進行路由器的初始化配置、路由器的登錄管理配置和路由器的登錄環(huán)境搭建等。任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.1.1通過CLI登錄設(shè)備命令行界面（CommandLineInterface，CLI）是用戶與設(shè)備之間的文本類指令交互界面，在該界面中用戶輸入文本類命令，按“Enter”鍵將命令提交給設(shè)備并執(zhí)行。用戶可以通過CLI輸入命令對設(shè)備進行配置，并且可以通過查看輸出的信息確認配置結(jié)果，方便配置和管理設(shè)備。通過CLI登錄設(shè)備的方式包括：使用Console口、Telnet、SSH或Modem登錄。當使用Console口、Telnet、SSH或Modem登錄設(shè)備時，都需要使用CLI來與設(shè)備進行交互。任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)1．查看路由器相關(guān)信息<Huawei>displayversion2．修改路由器時間<Huawei>clocktimezoneChina-Standard-Timeminus08：00:00<Huawei>clockdatetime09:56:002019-11-13<Huawei>displayclock3．修改路由器名稱并設(shè)置Console登錄密碼<Huawei>system-view//進入系統(tǒng)視圖[Huawei]sysnameR1//更改路由器名稱[R1]user-interfaceconsole0//進入Console口[R1-ui-console0]authentication-modepassword//設(shè)置加密模式為密碼模式Pleaseconfiguretheloginpassword（maximumlength16）:qytang//輸入密碼[R1-ui-console0]quit[R1]quit5.1.2路由器的初始化操作任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)4．配置路由器端口IP地址<Huawei>system-view[Huawei]interfaceGigabitEthernet0/0/0[Huawei-GigabitEthernet0/0/0]ipaddress.224[Huawei-GigabitEthernet0/0/0]descriptionThisconnetR2-G0/0/0[Huawei-GigabitEthernet0/0/0]displaythis[Huawei-GigabitEthernet0/0/0]return[Huawei]save5．查看當前配置和保存配置在用戶視圖下，查看當前配置用displaycurrent-configuration命令，查看保存配置用displaysaved-configuration命令。6．刪除配置文件、重啟路由器在系統(tǒng)視圖下，查看路由器配置文件的存放目錄用dir命令，刪除閃存中的路由器配置文件用resetsaved-configuration命令，重啟路由器用reboot命令。5.1.2路由器的初始化操作任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.1.3通過Console口登錄路由器任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.1.3通過Console口登錄路由器1．通過Console口搭建本地配置環(huán)境2．運行超級終端軟件3．超級終端路由器配置界面任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】搭建路由器配置環(huán)境01讓PC端和路由器端分別連接網(wǎng)絡(luò)<Huawei>clocktimezoneBJadd08:00:00<Huawei>clockdatetime20:10:002012-07-2602對路由器進行基本配置，設(shè)置系統(tǒng)的日期、時間和時區(qū)任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】搭建路由器配置環(huán)境03設(shè)置路由器名稱和管理IP地址<Huawei>system-view[Huawei]sysnameServer[Server]interfacegigabitethernet0/0/1[Server-GigabitEthernet0/0/0]undoshutdown[Server-GigabitEthernet0/0/0]ipaddress24[Server-GigabitEthernet0/0/0]quit任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】搭建路由器配置環(huán)境0204打開telnet服務(wù)端的telnet功能<Server>

system-view[Server]

telnet

server

enable任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】搭建路由器配置環(huán)境02[server]user-interfacemaximum-vty15//配置最大VTY用戶界面為15[server]user-interfacevty04[server-ui-vty0-4]protocolinboundtelnet[server-ui-vty0-4]authentication-modeaaa[server-ui-vty0-4]quit05進入VTY用戶界面視圖，配置VTY用戶界面的相關(guān)參數(shù)任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】搭建路由器配置環(huán)境02[server]aaa[server-aaa]local-useradmin1234passwordcipheradmin@123[server-aaa]local-useradmin1234service-typetelnet[server-aaa]local-useradmin1234privilegelevel15[server-aaa]quit06配置用戶的登錄驗證方式任務(wù)5.1掌握路由器的基本配置項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】搭建路由器配置環(huán)境02打開命令提示符窗口，輸入telnet后按“Enter”鍵，在登錄窗口輸入AAA驗證方式配置的登錄用戶名和密碼，驗證通過后，會出現(xiàn)用戶視圖的命令行提示符，至此用戶成功登錄路由器。07通過Telnet登錄路由器任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)要求】公司內(nèi)部網(wǎng)絡(luò)的主機和節(jié)點采用私有IP地址。公司內(nèi)部網(wǎng)絡(luò)使用路由器的串行端口接入互聯(lián)網(wǎng)，并且向互聯(lián)網(wǎng)接入服務(wù)提供商租用了兩個公網(wǎng)IP地址，一個IP地址用于使路由器的串行端口接入互聯(lián)網(wǎng)，另一個IP地址作為公司HTTP服務(wù)器的公有注冊IP地址，向互聯(lián)網(wǎng)發(fā)布信息。考慮到HTTP服務(wù)器的安全性，先將該服務(wù)器部署在局域網(wǎng)內(nèi)部的Server1上。小明需要了解使用什么技術(shù)，才能既保證公司內(nèi)部網(wǎng)絡(luò)用戶可以用私有地址訪問Server1上的HTTP服務(wù)器，又能使Server1上的公司內(nèi)部網(wǎng)絡(luò)HTTP服務(wù)器向互聯(lián)網(wǎng)發(fā)布信息。任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.2.1網(wǎng)絡(luò)地址轉(zhuǎn)換為了解決局域網(wǎng)用戶訪問Internet的問題，誕生了網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation，NAT）技術(shù)，它是一種將一個IP地址轉(zhuǎn)換為另一個IP地址的技術(shù)。NAT技術(shù)是一個標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在Internet上。它是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT技術(shù)的典型應(yīng)用是將使用私有IP地址（RFC1918）的園區(qū)網(wǎng)絡(luò)連接到Internet。任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)（1）內(nèi)部網(wǎng)絡(luò)（inside）：給內(nèi)部網(wǎng)絡(luò)的每臺主機都分配一個內(nèi)部IP地址，但與外部網(wǎng)絡(luò)通信時，又表現(xiàn)為另外一個地址。每臺主機的前一個地址稱為內(nèi)部本地地址，后一個地址稱為外部全局地址。（2）外部網(wǎng)絡(luò)（outside）：指內(nèi)部網(wǎng)絡(luò)需要連接的網(wǎng)絡(luò)，一般指互聯(lián)網(wǎng)。（3）內(nèi)部本地地址（insidelocaladdress）：指分配給內(nèi)部網(wǎng)絡(luò)主機的IP地址，該地址可能是非法的、未向相關(guān)機構(gòu)注冊的IP地址，也可能是合法的私有網(wǎng)絡(luò)地址。（4）內(nèi)部全局地址（insideglobaladdress）：合法的全局可路由地址。在外部網(wǎng)絡(luò)看來，它代表著一個或多個內(nèi)部本地地址。（5）外部本地地址（outsidelocaladdress）：外部網(wǎng)絡(luò)的主機在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)的IP地址，該地址是內(nèi)部可路由地址，一般不是注冊的全局可路由地址。（6）外部全局地址（outsideglobaladdress）：外部網(wǎng)絡(luò)分配給外部主機的IP地址，又稱全局可路由地址。5.2.2NAT技術(shù)的相關(guān)術(shù)語任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)1．靜態(tài)NAT按照一一對應(yīng)的方式將每個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，這種方式經(jīng)常用于需要使企業(yè)網(wǎng)的內(nèi)部設(shè)備能夠被外部網(wǎng)絡(luò)訪問的場景。在靜態(tài)NAT中，內(nèi)部網(wǎng)絡(luò)中的主機IP地址（內(nèi)部本地地址）一對一地永久映射成外部網(wǎng)絡(luò)中的某個合法地址。靜態(tài)NAT以一對一的方式將內(nèi)部私有地址映射到公共IP地址，當要求外部網(wǎng)絡(luò)能夠訪問內(nèi)部設(shè)備時，特別適合使用靜態(tài)NAT。5.2.3NAT的類型任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)2．動態(tài)NAT動態(tài)NAT是指將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個IP地址，包含動態(tài)地址池轉(zhuǎn)換（PoolNAT）和動態(tài)端口轉(zhuǎn)換（PortNAT）。（1）PoolNAT。PoolNAT執(zhí)行本地地址與全局地址的一對一轉(zhuǎn)換，但全局地址與本地地址的對應(yīng)關(guān)系不是一成不變的，一般是從內(nèi)部全局地址池中動態(tài)地選擇一個未使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換。采用動態(tài)NAT意味著可以在內(nèi)部網(wǎng)絡(luò)中定義很多的內(nèi)部用戶，通過動態(tài)分配的方法，共享很少的幾個外部IP地址，而靜態(tài)NAT則只能形成一對一的固定映射關(guān)系。5.2.3NAT的類型任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)2．動態(tài)NAT（2）PortNAT。PortNAT利用不同端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，也稱為PAT、NAPT或端口復(fù)用NAT。端口地址轉(zhuǎn)換（PortAddressTranslation，PAT）把內(nèi)部本地地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上，由于一個IP地址的端口有65535個，即一個全局地址最多可以和65535個內(nèi)部地址建立映射，因此從理論上說一個全局地址可供65535個內(nèi)部地址通過NAT連接Internet。但在實際應(yīng)用過程中，僅使用了大于或等于1024的端口。在只申請到少量IP地址卻經(jīng)常同時有多于合法地址個數(shù)的用戶連接外部網(wǎng)絡(luò)的情況下，這種轉(zhuǎn)換非常適用。5.2.3NAT的類型任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】了解NAT技術(shù)的工作過程1．靜態(tài)NAT的工作過程任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】了解NAT技術(shù)的工作過程01主機A要與主機B進行通信，它使用私有地址作為源地址向主機B發(fā)送報文。02NAT路由器從主機A處收到報文后檢查NAT轉(zhuǎn)換表，發(fā)現(xiàn)需要將該報文的源地址進行轉(zhuǎn)換。1．靜態(tài)NAT的工作過程03NAT路由器根據(jù)NAT轉(zhuǎn)換表將內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址，然后轉(zhuǎn)發(fā)報文。任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】了解NAT技術(shù)的工作過程05NAT路由器收到主機B發(fā)回的報文后，再根據(jù)NAT轉(zhuǎn)換表將該內(nèi)部全局地址轉(zhuǎn)換回內(nèi)部本地地址，并將報文轉(zhuǎn)發(fā)給主機A，后者收到報文后繼續(xù)會話。1．靜態(tài)NAT的工作過程04主機B收到報文后，使用內(nèi)部全局地址作為目的地址來應(yīng)答主機A。任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】了解NAT技術(shù)的工作過程2．動態(tài)NAT的工作過程任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】了解NAT技術(shù)的工作過程02NAT路由器從主機A收到報文后檢查NAT轉(zhuǎn)換表，發(fā)現(xiàn)需要將該報文的源地址進行轉(zhuǎn)換，并從地址池中選擇一個未被使用的內(nèi)部全局地址用于轉(zhuǎn)換。2．動態(tài)NAT的工作過程01主機A要與主機B進行通信，它使用私有地址作為源地址向主機B發(fā)送報文。任務(wù)5.2掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】了解NAT技術(shù)的工作過程04主機B收到報文后，使用內(nèi)部全局地址作為目的地址來應(yīng)答主機A。2．動態(tài)NAT的工作過程03NAT路由器根據(jù)NAT轉(zhuǎn)換表將內(nèi)部本地地址轉(zhuǎn)換為內(nèi)部全局地址，然后轉(zhuǎn)發(fā)報文，并創(chuàng)建一條動態(tài)的NAT轉(zhuǎn)換表項。05NAT路由器收到主機B發(fā)回的報文后，再根據(jù)NAT轉(zhuǎn)換表將該內(nèi)部全局地址轉(zhuǎn)換回內(nèi)部本地地址，并將報文轉(zhuǎn)發(fā)給主機A，后者收到報文后繼續(xù)會話。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)要求】在同一網(wǎng)段，數(shù)據(jù)包可以直接傳輸?shù)侥康牡?；在不同網(wǎng)段，就需要路由根據(jù)IP地址將數(shù)據(jù)包轉(zhuǎn)發(fā)到正確的目的地。路由分為靜態(tài)路由和動態(tài)路由兩類。小明需要在路由器上配置靜態(tài)路由，使公司內(nèi)部路由器能夠訪問遠程路由。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.1路由的概念路由是一個網(wǎng)絡(luò)層的術(shù)語，它是指從某一網(wǎng)絡(luò)設(shè)備出發(fā)去往某個目的地的路徑。路由表則是若干條路由信息的一個集合體。在路由表中，一條路由信息被稱為一個路由項或一個路由條目任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.1路由的概念02在路由表中，每一行就是一條路由信息。通常情況下，一條路由信息由3個要素組成：目的地/掩碼（Destination/Mask）、出端口（Interface）、下一跳IP地址（NextHop）。（1）目的地/掩碼。如果目的地/掩碼中的掩碼長度為32，則目的地將是一個主機端口地址，否則目的地將是一個網(wǎng)絡(luò)地址。通常情況下，一條路由信息的目的地是一個網(wǎng)絡(luò)地址，可以把主機端口地址看成目的地的一種特殊情況。（2）出端口。出端口是指該路由表項中所包含的數(shù)據(jù)內(nèi)容應(yīng)該從哪個端口發(fā)送出去。（3）下一跳IP地址。如果一個路由表項的下一跳IP地址與出端口的IP地址相同，則表示出端口已經(jīng)直連到了該路由信息所指的目的網(wǎng)絡(luò)。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.2靜態(tài)路由02路由器要轉(zhuǎn)發(fā)數(shù)據(jù)包，就必須擁有路由信息。路由器可通過直連路由、靜態(tài)路由和動態(tài)路由3種方式來獲得路由信息。1．靜態(tài)路由的概念靜態(tài)路由（staticrouting）是一種路由的配置方式，路由信息需手動配置，而非動態(tài)決定。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.2靜態(tài)路由022．靜態(tài)路由的配置命令（1）iproute命令iproute命令用于配置或刪除靜態(tài)路由，格式如下。[no]iprouteip-address{maskmask-length}{interfacce-namegateway-address}[preferencepreference-value][rejectblackhole]任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.2靜態(tài)路由02（2）showiproute命令showiproute命令用于顯示路由表摘要信息。執(zhí)行該命令可以以列表方式顯示路由表，每一行代表一條路由信息，內(nèi)容包括：目的地址/掩碼長度、協(xié)議、優(yōu)先級、度量值、下一跳、輸出端口。（3）showiproutedetail命令showiproutedetail命令用于顯示路由表詳細信息，執(zhí)行該命令可以幫助用戶進行路由方面的故障診斷。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.2靜態(tài)路由022．靜態(tài)路由的配置命令（4）showiproutestatic命令showiproutestatic命令用于顯示靜態(tài)路由表。執(zhí)行該命令可以幫助用戶確認對靜態(tài)路由的配置是否正確。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.2靜態(tài)路由023.默認路由

默認路由是指目的地/掩碼為/0的路由。如果在路由表中沒有找到其他路由，則使用默認路由。默認路由的配置命令為iproute，格式為iproute{網(wǎng)關(guān)地址|端口}。例如：iproutes0/0和iproute2。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.3.3路由優(yōu)先級02路由優(yōu)先級是一個正整數(shù)，范圍是0～255，它用于指定路由協(xié)議的優(yōu)先級。（1）不同來源的路由規(guī)定了不同的優(yōu)先級，并規(guī)定優(yōu)先級的值越小，路由的優(yōu)先級就越高。

（2）當存在多條目的地/掩碼相同，但來源不同的路由時，則具有最高優(yōu)先級的路由便會成為最優(yōu)路由，并加入路由表中。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02小明為公司搭建了一個小型網(wǎng)絡(luò)，網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖如圖5-1所示。小明通過配置和管理路由器，使公司內(nèi)部計算機能夠訪問外部網(wǎng)絡(luò)，部分部門之間能夠互訪，公司內(nèi)部路由器能夠訪問遠程路由。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)0201根據(jù)圖5-1所示的拓撲結(jié)構(gòu)圖，在華為模擬器上搭建網(wǎng)絡(luò)。0202配置公司員工計算機任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02R1配置[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]ipaddress5424[R1-GigabitEthernet0/0/2]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipaddress5424[R1]iproute-static03路由器端口、默認路由和靜態(tài)路由配置。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02R2配置命令[R2]interfaceg0/0/1[R2-GigabitEthernet0/0/1]ipaddress24[R2-GigabitEthernet0/0/1]interfaceg0/0/2[R2-GigabitEthernet0/0/2]ipaddress5424[R2-GigabitEthernet0/0/2]interfaceg0/0/0[R2-GigabitEthernet0/0/0]ipaddress24[R2]iproute-static54[R2]iproute-static03路由器端口、默認路由和靜態(tài)路由配置。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02R3配置命令如下。[R3]interfaceg0/0/1[R3-GigabitEthernet0/0/1]ipaddress24[R3]interfaceg0/0/2[R3-GigabitEthernet0/0/2]ipaddress5424[R3]iproute-static03路由器端口、默認路由和靜態(tài)路由配置。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02R4配置命令如下。[R4]interfaceg0/0/0[R4-GigabitEthernet0/0/0]ipaddress0024[R4]iproute-static5403路由器端口、默認路由和靜態(tài)路由配置。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02[R1]acl3000[R1-acl-adv-3000]rule10permittcpsource0destination0destination-porteq80//允許Client1訪問Server1的Web服務(wù)[R1-acl-adv-3000]rule20permitipsource0destination55//允許Client1訪問網(wǎng)絡(luò)/24[R1-acl-adv-3000]rule30denyipsource0destinationany//禁止Client1訪問其他網(wǎng)絡(luò)[R1]interfaceg0/0/2[R1-GigabitEthernet0/0/2]traffic-filterinboundacl300004在R1上配置華為高級ACL，使Client1訪問Server1的Web服務(wù)和網(wǎng)絡(luò)/24，并禁止Client1訪問其他網(wǎng)絡(luò)。任務(wù)5.3組建小型網(wǎng)絡(luò)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】組建公司小型網(wǎng)絡(luò)02[R3]acl2000[R3-acl-basic-2000]rule10permitsource000//允許主機R4訪問R3[R3-acl-basic-2000]rule20denysourceany//拒絕其他所有訪問[R3]user-interfacevty04[R3-ui-vty0-4]acl2000inbound//在VTY中調(diào)用acl2000[R3-ui-vty0-4]userprivilegelevel15[R3-ui-vty0-4]authentication-modepasswordPleaseconfiguretheloginpassword（maximumlength16）:12305在R3上配置基本的ACL，允許R4遠程訪問任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)要求】在企業(yè)網(wǎng)中，控制網(wǎng)絡(luò)中流進、流出的數(shù)據(jù)，限制網(wǎng)絡(luò)流量，提高網(wǎng)絡(luò)性能，允許或拒絕特定用戶對內(nèi)部網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的訪問，處理電子郵件、Telnet等類型的通信被轉(zhuǎn)發(fā)或阻止等，這些問題都可以通過訪問控制列表來完成。小明在公司網(wǎng)絡(luò)上通過配置訪問控制列表來限制遠程用戶登錄到路由器的主機。任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.4.1訪問控制列表簡介1．ACL簡介ACL是由一系列規(guī)則組成的集合，ACL通過這些規(guī)則對報文進行分類，從而使設(shè)備可以對不同類的報文進行不同的處理。任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.4.1訪問控制列表簡介2．ACL的實現(xiàn)方式目前設(shè)備支持的ACL有以下兩種實現(xiàn)方式。（1）軟件ACL針對與本機交互的報文（必須傳輸給CPU處理的報文），由軟件來匹配報文的ACL，如FTP、TFTP、Telnet、SNMP、HTTP、路由協(xié)議、組播協(xié)議中引用的ACL。（2）硬件ACL針對所有報文（一般是針對轉(zhuǎn)發(fā)的數(shù)據(jù)報文），通過下發(fā)硬件ACL資源來匹配報文的ACL，如流策略、基于ACL的簡化流策略、自反ACL、用戶組，以及為端口收到的報文添加外層Tag功能中引用的ACL。任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.4.2ACL的類型1．ACL的類型

根據(jù)序號，ACL可以分為基本ACL、高級ACL和二層ACL3種類型?；続CL只能過濾IP數(shù)據(jù)包頭中的源IP地址，高級ACL可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標志代碼）等，二層ACL根據(jù)報文的源MAC地址、目的MAC地址、IEEE802.1p優(yōu)先級、二層協(xié)議類型等二層信息制定匹配規(guī)則。（1）基本ACL（2000-2999）：只能匹配源IP地址。（2）高級ACL（3000-3999）：可以匹配源IP地址、目標IP地址、源端口、目標端口等3層和4層的字段。（3）二層ACL（4000-4999）：可以匹配源MAC地址、目的MAC地址、IEEE802.1p優(yōu)先級、二層協(xié)議類型。任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.4.2ACL的類型2．ACL命名用戶在創(chuàng)建ACL時，可以為ACL指定一個名稱，每個ACL最多只能有一個名稱。用戶可以通過ACL的名稱唯一地確定一個ACL，并對其進行相應(yīng)的操作。在創(chuàng)建ACL時，用戶可以選擇是否為其配置名稱。創(chuàng)建ACL后，不允許用戶修改或者刪除ACL名稱，也不允許為未命名的ACL添加名稱任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.4.3通配符掩碼地址過濾是根據(jù)ACL地址通配符進行的，通配符掩碼是一個32位的數(shù)字字符串，它被點號分成4組，每組包含8位。在通配符掩碼中，0表示“檢查相應(yīng)的位”，而1表示“不檢查（忽略）相應(yīng)的位”。任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)5.4.3通配符掩碼通配符掩碼掩碼的二進制形式描述00000000.00000000.00000000.00000000全部匹配，與關(guān)鍵字host等價5500000000.00000000.00000000.11111111只有前24位匹配5500000000.00000000.11111111.11111111只有前16位匹配5500000000.11111111.11111111.11111111只有前8位匹配5511111111.11111111.11111111.11111111全部不匹配，與關(guān)鍵字any等價5500000000.00000000.00000111.11111111只有前20位匹配5500000000.00000000.00000011.11111111只有前22位匹配任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】創(chuàng)建ACL02[Huawei]acl2000//指定一個序號2000-2999[Huawei-acl-basic-2000]ruledeny//拒絕源地址訪問[Huawei-acl-basic-2000]ruledeny55//拒絕整個網(wǎng)段訪問[Huawei-acl-basic-2000]ruleperrmit//允許源地址訪問[Huawei-acl-basic-2000]quit01定義1．基本ACL的配置過程任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】創(chuàng)建ACL02[Huawei]interfaceGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]traffic-filteroutboundacl2000//在出口方向應(yīng)用規(guī)則[Huawei-GigabitEthernet0/0/1]traffic-filterinboundacl2000//在入口方向應(yīng)用規(guī)則其中inbound用來指示該ACL被應(yīng)用到流入端口，outbound則用來指示該ACL被應(yīng)用到流出端口。02應(yīng)用到端口任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】創(chuàng)建ACL禁止訪問的ICMP，配置命令如下。[Huawei]acl3000[Huawei-acl-adv-3000]ruledenyicmpsource0destination0[Huawei-acl-adv-3000]quit[Huawei]interfaceGigabitEthernet0/0/1[Huawei-GigabitEthernet0/0/1]traffic-filteroutboundacl3000[Huawei-GigabitEthernet0/0/1]quit[Huawei]displayaclall01配置禁止ICMP2．高級ACL的配置任務(wù)5.4了解訪問控制列表技術(shù)項目5展現(xiàn)才能——組建小型網(wǎng)絡(luò)【任務(wù)實施】創(chuàng)建ACL[H